[LCFC] wml://lts/security/2020/dla-24{32,47-2,54,55,56,57,58}.wml

2020-11-26 Par sujet JP Guillonneau 
Bonjour,

le jeudi 26 novembre 12:53, Grégoire Scano a écrit :
>une suggestion supplémentaire.
>
Merci Grégoire, intégrée.

Dernière chance de commentaire.

Amicalement.

Jean-Paul
#use wml::debian::translation-check translation="78cf9e6fd6ae6b94be25548954275d9f9d3d904a" maintainer="Jean-Paul Guillonneau"
Mise à jour de sécurité pour LTS

Deux vulnérabilités ont été découvertes dans Drupal, un cadriciel complet de
gestion de contenu.



https://security-tracker.debian.org/tracker/CVE-2020-13666;>CVE-2020-13666

L’interface de programmation applicative AJAX de Drupal ne désactivait pas
JSONP par défaut. Cela pourrait conduire à un script intersite.

Pour les configurations reposant sur l’API AJAX de Drupal pour les
requêtes JSONP, soit JSONP doit être réactivé, soit l’API AJAX jQuery doit être
utilisé.

Consultez l’annonce de l’amont pour plus de détails :
https://www.drupal.org/sa-core-2020-007;>https://www.drupal.org/sa-core-2020-007.

https://security-tracker.debian.org/tracker/CVE-2020-13671;>CVE-2020-13671

Drupal échouait à nettoyer les noms de fichier des fichiers téléversés. Cela
pourrait conduire à ce que des fichiers soient servis avec un mauvais type MIME
ou exécutés selon la configuration du serveur.

Il est aussi recommandé de vérifier les fichiers déjà téléversés pour des
extensions malveillantes. Pour plus de détails, consultez l’annonce de l’amont :
https://www.drupal.org/sa-core-2020-012;>https://www.drupal.org/sa-core-2020-012.



Pour Debian 9 Stretch, ces problèmes ont été corrigés dans
la version 7.52-2+deb9u12.

Nous vous recommandons de mettre à jour vos paquets drupal7.

Pour disposer d'un état détaillé sur la sécurité de drupal7, veuillez
consulter sa page de suivi de sécurité à l'adresse :
https://security-tracker.debian.org/tracker/drupal7;>https://security-tracker.debian.org/tracker/drupal7.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur :
https://wiki.debian.org/LTS;>https://wiki.debian.org/LTS.


# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2020/dla-2458.data"
# $Id: $

[LCFC] wml://lts/security/2020/dla-24{32,47-2,54,55,56,57,58}.wml

2020-11-26 Par sujet JP Guillonneau 
Bonjour,

Dernière chance de commentaire.

Amicalement.

Jean-Paul